자료실

2023년 주목해야 할 IT 보안 예측 6가지


2023년 주목해야 할 IT 보안 예측 6가지


매년 이맘때면 늘 그랬듯이 얼마 전 퀘스트의 유능한 동료 몇 명과 모여 새해에 주목해야 할 주요 추세에 대한 생각을 나누고 IT를 예측해봤습니다. 퀘스트의 전문 분야는 AD(Active Directory)와 사이버 탄력성이므로 특히 이 2가지 영역과 관련된 최신 추세를 연구했습니다. 


어쨌든 AD는 20년 이상 지난 기술이므로 전망을 주제로 한 이번 포스팅 주제와 맞지 않아 보일 수 있습니다. 그렇다면 여기서는 최첨단 기술과 애저 AD를 다뤄야 하는 것일까요? 새해에는 이런 기술이 온프레미스 AD보다 더 중요하지 않을까요? 


그렇지 않습니다. 클라우드 도입이 계속되는 중에도 사실 AD는 대부분 기업에서 여전히 주요 인증 및 권한 부여 시스템이라는 자리를 지키고 있습니다. 따라서 AD 보안이 침해되면 기업에는 재앙이 닥칠 수 있습니다. 실제로 가트너의 최근 IT 보안 연구를 보면 AD에 대한 언급이 점점 늘어나고 있습니다. 현대 사이버보안에서 AD는 여전히 핵심적인 역할을 맡고 있습니다. 


AD는 기업 IAM 프로그램의 기반 요소 중 하나이며, ID 관리와 인증을 가능하게 해줍니다. 그러나 기업이 AD의 중요성을 인지하고 있다 해도 AD의 보안은 간과되는 경우가 많습니다. AD가 침해되면 공격자는 기업의 전체 네트워크와 리소스에 대해 거의 무제한 액세스 권한을 갖게 됩니다. 그런 만큼 AD는 위협 행위자들의 주요 공격 목표입니다. 


AD에 대한 위협은 단순한 이론이 아닙니다. 마이크로소프트는 AD가 실제로 악의적 행위자의 핵심 표적임을 공개적으로 밝혔습니다. 마이크로소프트의 ID 보안 부문 부사장인 알렉스 와이너트는 엑스퍼트 컨퍼런스(The Experts Conference: TEC) 2022에서 이에 대해 “현재 공격을 받는 곳은 온프레미스”는 말로 간결하게 상황을 설명했습니다. 


이제 AD 보안에 중점을 두고 2023년의 6가지 주요 IT 보안 전망을 살펴봅시다. 


1. 인플레이션으로 인해 보안 위험이 커집니다 

이 전망을 가장 먼저 언급하는 이유는 가장 중요해서가 아니라 최근 가장 관심이 많은 뉴스인 인플레이션과 관련되기 때문입니다. 인플레이션이 전 세계 개인과 기업, 정부에 영향을 미치고 있는 것은 주지의 사실입니다. 인플레이션이 IT 보안에 정확히 어떻게 영향을 미칠지 분석한 결과, 다음과 같은 시나리오가 올해 일어날 가능성이 높습니다. 


첫째, 랜섬웨어 브로커들이 이미 기업 사용자들에게 이메일을 보내 악성 소프트웨어 배포를 유도하고 있습니다. 물론 사이버 범죄자들이 고용주를 사보타주할 수 있는 불만을 품은 직원을 물색하는 것은 늘상 있는 일입니다. 그러나 강력한 인플레이션으로 인해 금전적 어려움을 겪는 사람이 많아지면서 가령 100만 BTC를 뇌물로 받고 기꺼이 랜섬웨어를 배포할 수 있는, 악의적 행위자들의 잠재적인 공범자 풀도 커지게 될 것입니다. 


내부자 액세스 권한의 악용은 랜섬웨어만의 문제는 아닙니다. 인플레이션으로 고통받는 사용자가 자신의 자격 증명을 판매할 수도 있습니다. 일반적인 사용자의 자격 증명은 공격자에게 큰 가치가 되지 않는다고 생각할 수 있지만, 이는 큰 착각입니다. 퀘스트의 보안 평가를 보면 IT 환경에는 몇 단계의 승격만으로 공격자에게 전체 AD 도메인 제어를 포함한 티어 제로(최상급) 자산에 대한 액세스를 부여할 수 있는 권한을 가진 계정의 비율이 매우 높습니다(충격적이게도 70~100%입니다). 게다가 오픈소스 툴은 관리 권한이 없어도 이런 공격 경로의 세부사항을 명확하게 보여줍니다. 따라서 기업은 공격 경로 관리를 구현해야 합니다. 


사이버 범죄자들이 공격을 확대하는 동안 IT팀은 자체적인 인플레이션 문제와도 씨름해야 합니다. 특히 2023년은 예산 축소와 IT 과업에 대한 자금 지원 중단이 결합하는 힘든 시기가 될 가능성이 높습니다. 다양한 문제를 해결해야 하는 IT팀은 명확한 초점을 유지해야 합니다. 특히 복원 프로세스 속도를 높이는 견고한 재해 복구 전략과 자동화된 솔루션을 갖춰야 합니다. 결국 사이버 탄력성을 높이는 핵심은 실현 가능성이 없는 공격을 예방하는 것이 아니라, 재해가 실제로 발생할 때 최대한 신속하게 비즈니스를 복구할 수 있도록 준비하는 것입니다. 


2. 성장 및 인수합병 전략에서 보안의 비중이 더 커집니다 

인플레이션은 기업의 2023년 성장 전략에도 영향을 미칩니다. 실제로 인수합병 시장은 2021년 기록적인 해를 보낸 후 2022년에는 위축됐습니다. 시장의 움직임이 코로나19 팬데믹 이전의 정상적인 수준으로 돌아가면서 기업은 더 신중하게 선택할 수 있는 여유가 생겼습니다. 퀘스트의 세일즈 엔지니어링 부문 선임 관리자 버트 스코룹스키는 2023년에는 보안이 인수합병 계획과 기업의 전체적인 성장 전략에서 더 큰 요소로 작용할 것으로 예상합니다. 


무엇보다 경영진은 잠재적 인수 대상 기업의 IT 보안 태세를 훨씬 세부적으로 조사하고 위험한 기업은 인수하지 않을 것입니다. 인수합병 거래가 성사된다면 IT 통합 프로세스의 초점은 최대한 신속하게 모든 요소를 마이그레이션하는 것보다 보안의 비중이 훨씬 커질 것입니다. 가령 기업이 SID 내역을 정리하지 않으면 이를 마이그레이션하면서 심각한 보안 위험이 발생합니다. 2023년에는 더 안전한 IT 통합을 이루는 데 필요한 재량권이 IT팀에 부여될 것으로 전망됩니다. 


마이그레이션 프로세스 속도의 감소는 연쇄 효과를 일으킵니다. 특히 기업은 마이그레이션 시작 당일부터 2개 또는 그 이상의 IT 엔티티 간 공존을 설정하고 이를 더 오래 유지해야 합니다. 따라서 효과적인 공존 솔루션이 더욱 중요해집니다. 


IT 통합 작업은 보안뿐 아니라 규정 준수의 영향도 받게 됩니다. 환율의 변동과 미국 달러의 구매력 향상으로 인해 국제적인 인수합병이 증가할 것으로 예상됩니다. 결과적으로 미국 기업의 IT팀은 연방 및 주 명령뿐 아니라 전 세계의 규정에 더 많은 주의를 기울여야 합니다. 


3. 공급망 위험 관리의 가치가 주목받습니다 

퀘스트의 제품 마케팅 담당 이사 다니엘 건트너는 공급망 위험이 2023년에 미칠 영향에 집중했습니다. 건트너는 기업이 서로 연결되어 있다는 인식이 그동안 꾸준히 확산했다고 강조했습니다. 인식의 큰 전환을 촉발한 것은 2020년, 해커들이 직접적인 침투 없이 수십 개 미국 기업과 정부 기관의 사설 네트워크에 침투해 몇 개월 동안 염탐한 사건입니다. 이들은 솔라윈즈(SolarWinds)에 침입해서 다른 기업이 IT 리소스를 관리하는 데 사용 중이었던 솔라윈즈의 네트워크 모니터링 툴셋 오리온(Orion)에 악성 코드를 추가했습니다. 


그러나 이 사건은 최근 몇 년 사이 일어난 공급망 공격의 사례일 뿐입니다. 2021년 미국 정부는 기업이 효과적인 방어를 구축하도록 돕기 위해 발효한 행정 명령 14028에서 미국 국립표준기술연구소(National Institute of Standards and Technology, NIST)에 다양한 기업과 협력해서 기존 표준과 툴, 모범 사례 및 기타 가이드라인을 파악하거나 새로 개발하여 소프트웨어 공급망 보안을 강화하도록 지시했습니다. 이후 NIST는 꾸준히 지침을 발표했고 2022년 5월에는 대통령에 진행 상황 보고서를 제출했습니다. 미 국방부의 사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC) 프레임워크의 2.0 버전도 엄격한 공급망 요구사항을 제시합니다. 내년에는 기업이 다음 표적이 되어 언론 헤드라인을 장식하는 사태를 피하기 위해 이런 표준을 충족하기 위한 노력을 강화할 것으로 전망됩니다. 


한편 이런 노력이 사이버보안이라는 이름으로만 실행되는 것은 아닙니다. 사이버 보험의 가격이 오르고 가입하기 더 어려워지고 있습니다. 또한 솔루션 업체는 기업에 자체 사이버 방어뿐 아니라 공급망 방어까지 증명하도록 요구하는 경우가 늘어날 것입니다. 따라서 가치 있는 파트너가 되기를 원하는 기업이 NIST 가이드라인과 CMMC 프레임워크를 준수하려는 조치를 취할 동기는 충분합니다. 


1979년의 미국 무역협정법(United States Trade Agreements Act, TAA)도 있습니다. ‘2023년에 대한 전망을 다루는 글에서 1979년이라니’라며 의구심을 느끼겠지만, 실제로 오늘날 TAA가 화두입니다. TAA는 미국 중앙조달기관(General Services Administration, GSA) 스케줄 계약을 포함한 미국 정부 조달을 미국 또는 지정된 국가에서 만들어진 제품으로 제한합니다. 즉, 미국 정부에 제품을 판매하려면 그 제품이 TAA를 준수하는지 확인해야 합니다. 중국, 인도, 인도네시아를 포함한 여러 주요 제조 국가가 TAA가 지정한 국가 목록에 없기 때문에 상당히 준수하기 어려운 조건입니다. 러시아, 이란, 이라크 역시 목록에 포함되지 않습니다. 현재 지정학적 긴장이 이어지고 미국 정부가 국가 후원 위협에 대해 경계하는 상황인 만큼 기업은 더욱 엄격한 TAA 준수 검사에 대비해야 하며, 공급망 위험 관리에 더 많은 관심을 기울여야 합니다. 


4. 기업은 IT 기술에 대한 생각의 폭을 넓힐 것입니다 

퀘스트의 선임 제품 관리자 제이슨 자코보는 기업 전략과 법적 의무에 치중한 토론의 방향을 IT 전문가, 즉 그런 우선순위를 실행에 옮기는 당사자에 대한 심층적 논의로 전환했습니다. 자코보는 최근의 대퇴직(Great Resignation)으로 인해 IT 전문가들이 금전적 보상과 유연성, 2가지 측면에서 더 나은 보상을 제공하는 기업으로 이동했다는 점을 강조했습니다. 자코보는 이런 변화 때문에 전 세계가 여전히 IT 기술 부족, 특히 유능한 사이버보안 전문가의 부족에 직면해 있다는 근본적인 사실을 잊어서는 안 된다고 말했습니다. 


결과적으로 기업은 2023년에 인력 운용 전략을 바꿔야 합니다. 기업은 경직된 사고방식이 아닌 성장 사고방식을 가진 사람, 자신의 영역에 안주하지 않고 전문 지식을 넓히고자 하는 사람을 찾기 시작할 것입니다. 특히 현재 갖고 있는 기술을 사이버보안에 맞춰 적용하고 빠르게 발전하는 위협 환경에 보조를 맞출 수 있는 사람이 필요합니다. 물론 모든 기업은 현재 보유한 귀중한 인력을 유지하기 위한 조치도 취해야 합니다. 


5. 기업은 효율성과 자동화에 초점을 둘 것입니다 

퀘스트의 선임 제품 마케팅 관리자인 패트릭 앤시핑크는 앞서 논의한 2가지 전망을 종합했습니다. 높은 인플레이션은 모든 비용을 높이고 있으며, IT 사이버보안 인력 문제는 기업을 취약하게 만들고 있습니다. 패트릭은 프로세스 개선 및 자동화 같은 전략을 통해 효율성을 개선함으로써 2가지 문제를 모두 해결할 수 있다고 말했습니다. 


이에 따라 2023년에는 프로세스 관리와 노동력을 절감하는 툴 활용에 대한 우선순위가 높아질 것으로 보입니다. 기업은 위험 식별 및 교정, 감사, 위협 탐지 및 대응, 백업 및 복구와 같은 검증된 분야에서 가용할 수 있는 자동화를 활용하는 전체적인 사이버보안 전략을 실햄함으로써 더 적은 자원으로 더 많은 일을 하면서 사이버 탄력성을 비약적으로 강화할 수 있습니다. 


6. 제로 트러스트가 현실이 됩니다 

마지막은 퀘스트의 수석 전략 시스템 컨설턴트이자 공인 정보 시스템 보안 전문가(CISSP)인 브라이언 패튼의 예측입니다. 패튼은 2023년에는 클라우드의 혜택이 주는 매력이 더욱 커질 것으로 예상합니다. 경제적 불확실성에 직면한 기업은 클라우드의 빠른 확장성을 중시하게 되고, IT 인력에 대한 우려는 온프레미스 시스템을 줄이고 매니지드 서비스에 더 많은 부분을 맡기는 방식으로 완화될 것입니다. 물론 클라우드를 통해 기업은 오늘날의 하이브리드 인력을 원활하게 지원할 수 있으므로 우수한 인재를 훨씬 효과적으로 유인하고 유지할 수 있습니다. 


그러나 클라우드 도입은 ‘외부’의 모든 것은 의심스럽고 ‘내부’의 모든 것은 신뢰할 수 있다고 전제하는 전통적인 경계를 없애기도 합니다. 이런 변화는 제로 트러스트를 과장의 영역에서 광범위하게 현실적인 응용으로 이끌 것입니다. 제로 트러스트 모델에서는 사용자나 서비스 또는 기타 요소가 한 번 인증되었다고 해도 다른 일까지 자유롭게 하지는 못하며, 지속적인 검증이 필요합니다. 여러 소스에서 얻는 실시간 정보를 사용해서 액세스 권한 및 기타 시스템 응답에 대한 결정을 내립니다. 


성공은 성공 위에 세워집니다. 성숙한 기업은 제로 트러스트를 채택하고 이들의 성공은 다른 기업에 확신을 주게 됩니다. 기업은 제로 트러스트 모델을 구현하는 베스트 프랙티스를 구축, 개선, 공유하면서 도입을 이끌고 결과를 개선하는 실무적인 지침을 제공할 것입니다. 2023년 사이버 탄력성을 성공적으로 구축하시길 바랍니다! 


2023년에 대한 퀘스트의 6가지 주요 예측은 여기까지입니다. 새해에 기업의 보안, 생산성 및 사이버 탄력성을 강화하는 데 이 예측이 도움이 되기를 바랍니다. 예측과 관련해서 궁금한 점이 있으시면 언제든 퀘스트소프트웨어 코리아로 문의주시기 바랍니다.


 




퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB